ГОСТ Р 56498-2015/IEC/PAS 62443-3:2008

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СЕТИ КОММУНИКАЦИОННЫЕ ПРОМЫШЛЕННЫЕ

Защищенность (кибербезопасность) сети и системы

Часть 3

Защищенность (кибербезопасность) промышленного процесса измерения и управления

Industrial communication networks. Network and system security. Part 3. Security for industrial process measurement and control

ОКС 25.040.40

         35.110     

Дата введения 2016-01-01

Предисловие

1 ПОДГОТОВЛЕН Негосударственным образовательным частным учреждением "Новая Инженерная Школа" (НОЧУ "НИШ") на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 документа, который выполнен Российской комиссией экспертов МЭК/ТК 65, и Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ВНИИНМАШ)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 306 "Измерения и управление в промышленных процессах"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 июня 2015 г. N 775-ст

4 Настоящий стандарт идентичен международному документу IEC/PAS 62443-3:2008* "Промышленные коммуникационные сети. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления" (IEC/PAS 62443-3:2008, "Industrial communication networks - Network and system security - Part 3: Security for industrial process measurement and control", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Алфавитный указатель терминов, используемых в настоящем стандарте, приведен в дополнительном приложении ДА.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДБ

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

7 В настоящем стандарте часть его содержания может быть объектом патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии (www.gost.ru)

Введение

Ранее изолированные автоматизированные системы все больше объединяются в сети общего пользования и, следовательно, растет уязвимость таких систем перед атаками. Стандартные механизмы обеспечения IT-безопасности имеют цели и стратегии защиты, которые могут быть неприменимы для автоматизированных систем. Настоящий стандарт описывает концепцию обеспечения безопасности доступа к промышленным системам и внутри них, чтобы при этом гарантировалось своевременное срабатывание, которое может быть крайне важно для функционирования производственного объекта.

Для прикладных систем безопасности и систем в фармацевтических или других узкоспециализированных отраслях промышленности могут быть применимы дополнительные стандарты, директивы, определения и условия. Например, МЭК 61508, GAMP (ISPE), правило 21 CFR (FDA) для соответствия GMP и Стандартный регламент Европейского агентства лекарственных средств (SOP/INSP/2003).

     1 Область применения

Настоящий стандарт устанавливает концепцию обеспечения безопасности аспектов информационно-коммуникационных технологий систем измерений и управления в производственных процессах, включая сети таких систем и устройства в составе таких сетей, на этапе эксплуатации жизненного цикла производственного объекта.

Настоящий стандарт устанавливает методологическую основу для формулирования требований к безопасности эксплуатации производственного объекта и предназначен прежде всего для владельцев/операторов автоматизированных систем, отвечающих за эксплуатацию систем управления, используемых в промышленности (ICS).

Кроме того, эксплуатационные требования, установленные в настоящем стандарте, могут быть использованы теми, кто имеет отношение к ICS, в том числе:

a) разработчики автоматизированных систем;

b) изготовители (поставщики) устройств, подсистем и систем;

c) сборщики подсистем и систем.

PAS учитывает следующие вопросы:

- постепенный перенос/эволюция существующих систем;

- достижение целей безопасности с помощью существующих коммерческих технологий и продуктов;

- гарантия надежности/доступности защищенных коммуникационных сервисов;

- применимость к системам любых размеров и с любыми рисками (универсальность);

- совместимость требований защиты, нормативно-правового соответствия и функциональности автоматики с требованиями безопасности.

Примечание 1 - Производственные объекты и системы могут содержать компоненты и устройства, крайне важные для безопасности. Любые компоненты, относящиеся к безопасности, могут быть сертифицированы в рамках МЭК 61508 и в соответствии с его уровнями целостности безопасности (SIL). Настоящий стандарт не гарантирует, что ее технические требования полностью или частично соответствуют или достаточны для безопасности таких компонентов и устройств, важных для безопасности.

Примечание 2 - Настоящий стандарт не включает в себя требований к оценке и проверке обеспечения безопасности.

Примечание 3 - Меры, предусматриваемые настоящим стандартом, скорее привязаны к процессам и носят общий характер, в отличие от специальных, или носят характер директив, определяя технические контрмеры и конфигурации.

Примечание 4 - Положения настоящего стандарта описаны языком, привычным для владельца/оператора производственного объекта.

Примечание 5 - Настоящий стандарт не распространяется на процессы жизненного цикла формулирования концепции, проектирования и реализации, т.е. устанавливает требования к разработке будущего продукта изготовителя управляющего оборудования.

Примечание 6 - Настоящий стандарт не распространяется на интеграцию компонентов и подсистем в систему.

Примечание 7 - Настоящий стандарт не распространяется на материально-техническое снабжение для интеграции в существующую систему, то есть требования к материально-техническому снабжению для владельца/операторов производственного объекта.

Примечание 8 - В рамках МЭК 62443 предусмотрена разработка трех частей, которые включают в себя большинство положений, изложенных в примечаниях 1-7. В приложении А приведен планируемый объем и содержание разрабатываемых стандартов.

     2 Нормативные ссылки

Стандарты, ссылки на которые приведены в настоящем разделе, обязательны при применении настоящего стандарта. Для датированных ссылок применяют только указанное издание. Для недатированных ссылок применяют последнее издание ссылочного стандарта (включая любые изменения).

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

ISO/IEC 15408 (all parts), Information technology - Security techniques - Evaluation criteria for IT security (Информационная техника. Технологии безопасности. Критерии оценки для безопасности IТ)

ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for IT security management (Информационная техника. Технологии безопасности. Свод правил для управления IТ-безопасностью)

ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines for use in standards (Управление риском. Терминология. Директивы к использованию в стандартах)

     3 Термины, определения и сокращения

     3.1 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1.1 управление доступом (access control): Предупреждение о несанкционированном использовании служебного ресурса, в том числе о его использовании без авторизации.

[ИСО/МЭК 18028-2:2006, изменен]

3.1.2 источник угрозы (adversary): Логический объект, совершающий атаку на систему или представляющий для нее угрозу.

[RFC 2828]

3.1.3 сигнал тревоги (alert): Текущая индикация, указывающая на то, что информационная система и сеть могут подвергнуться атаке или находиться в опасности вследствие аварии, сбоя или ошибки людей.

[ИСО/МЭК 18028-1:2006]

3.1.4 имущественный объект (asset): Что-либо, представляющее ценность для организации.

[ИСО/МЭК 13335-1:2004]

3.1.5 надежность (assurance): Характеристика соответствующих действий или процессов, дающая уверенность в том, что результат удовлетворяет требованиям безопасности.

[ИСО/МЭК/ТО 15443-1]

3.1.6 атака (attack): Попытки уничтожить, подвергнуть опасности, преобразовать или вывести из строя информационную систему и/или содержащуюся в ней информацию, или иным образом затронуть политику безопасности.

[ИСО/МЭК 18043]

3.1.7 поверхность атаки (attack surface): Совокупность ресурсов системы, которые напрямую или косвенно подвержены потенциальному риску атаки.

3.1.8 аудит (audit): Официальные запрос, исследование или сравнение фактических результатов с ожидаемыми в целях подтверждения соответствия их установленным требованиям и совместимости между стандартами.

[ИСО/МЭК 18028-1]

3.1.9 проведение аутентификации, аутентификация (authenticate, authentication): Проверка заявляемой идентичности логического объекта.

[ИСО/МЭК 19792]

3.1.10 доступность (availability): Свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта.

[ИСО 7498-2]

3.1.11 коммерчески доступные продукты (Commercial off the shelf, COTS): Продукты, изготовленные и распределенные в промышленном масштабе для многократного применения и/или множества потребителей; могут быть изготовлены на заказ для специального применения.

Примечание - COTS следует отличать от продуктов, которые разрабатываются исключительно для специального применения.

3.1.12 утечка информации (compromise): Несанкционированное использование, рассекречивание, преобразование или замена в каждом из случаев - данных, программ или конфигурации системы, то есть в результате и после несанкционированного проникновения.

3.1.13 конфиденциальность (confidentiality): Свойство, указывающее на то, что информация не была доступна или раскрыта неавторизованным лицам, логическим объектам или процессам.

[ИСО/МЭК 13335-3]

3.1.14 регистрационные данные (credentials): Средство подтверждения того, что нечто или некто является тем, за кого себя выдает, причем такое абстрактное средство может представлять собой учетные IT-данные доступа к информационному сервису или ресурсу.

[ИСО/МЭК 24760]

3.1.15 демилитаризованная зона (demilitarized zone, DMZ): Хост безопасности или небольшая сеть (называемая также защищенной подсетью), располагаемые между сетями в качестве "нейтральной зоны".

[ИСО/МЭК 18028-3]

Примечание - Данная зона образует буферную зону безопасности (ИСО/МЭК 18028-3).

3.1.16 отказ в обслуживании (атака) [denial of service (attack)]: Атака на систему, направленная на ограничение ее доступности.

[ИСО/МЭК 18028-4]

3.1.17 событие (event): Событие в системе, относящееся к ее безопасности.

[RFC 2828, изменен]

3.1.18 незащищенный, незащищенность (exposed, exposure): Состояние уязвимости и отсутствия защиты против атаки.